手机版熊猫烧香工夫熊猫病毒袭卷Android
感谢LBE小组的投递工夫病毒可能是2012年最为活跃的病毒家族了,截止目前,这支病毒已发展了超过5种以上的变种,使用的引导、隐藏和免杀技术也在日新月异的发展变化,当之无愧的成为目前技术最为先进、传播最为广泛的流行Android病毒。
2月24日,LBE小组首先拦截到了工夫病毒的最新变种Trojan/,我们称之为工夫熊猫病毒。工夫熊猫具有传统工夫病毒的一切特点,包括:修改系统分区嵌入至ROM、感染后没法查杀,乃至回复出厂设置也没法解决的同时加强了自我保护和隐藏的功能,并且能够干扰部份安全软件(包括LBE安全大师等)正常运行,是目前为止危险性最高的流行病毒。
病毒分析
工夫熊猫病毒会将自己假装成合法的软件,通过第三方市场和论坛进行传播
为了解决签名不一致致使升级失败没法安装的问题,病毒作者特地修改了包名,避免了病毒没法安装的问题。
LBE小组拦截到的工夫熊猫病毒样本并未携带自动提权代码,因此需要用户手机ROOT以后才会被感染。由于部份软件本身需要ROOT权限,所以一般用户很难分辨自己安装的是正常软件,还是歹意软件,从而致使感染病毒。
当病毒的提权部份代码被触发以后,便会履行以下操作:
将系统分区设置为可写
将本身复制到系统分区内/system/lib/
将/system/bin下的多个关键系统组件备份至/system/framework下,并且使用病毒代码覆盖原始系统组件
修改多个系统引导脚本,确保本身在系统引导之前加载
当病毒本体履行时,会履行以下操作:
将自己设置为后台daemon,避免被终止;并将自己假装为system_server,实现进程自我保护,并且干扰部份安全软件的正常运行。
监控被本身修改的系统引导脚本的内容,如果发现有任何软件尝试修改和替换系统引导脚本,都会自动将内容还原。
联系远程控制端,获得攻击指令。工夫熊猫病毒使用了不同的控制端域名(),这也是其得名的缘由。
截止到发稿为止,工夫熊猫的控制端并未开始下发任何攻击指令,我们认为病毒团队依然在对控制端进行调试,和搜集受感染的机型数据。但是对工夫熊猫的逆向分析显示,其包括了工夫病毒的所有功能,包括静默安装、卸载软件;静默履行软件;设置浏览器首页和收藏夹等。
与先前版本的工夫病毒不同,工夫熊猫病毒使用了几近完全不同的加载、隐藏和自我保护方式。由于病毒会想法使自己先于Android系统加载,使得任何现有的安全软件对其都束手无策。
免疫和清除方式
截止到发稿为止,目前唯一LBE安全大师能够辨认工夫熊猫病毒。LBE安全大师的用户需要将病毒库在线更新至20120224.d版本便可;如果没法在线更新,也可以选择前往LBE官方网站下载最新的3.2.1750版。如果您使用其他软件软件,请等待厂商的更新。
对不幸中招的用户,由于病毒已修改了相当多的系统文件,并且具有相当强的自我保护能力,手工清算几近不可能完成。我们推荐您使用工夫熊猫专杀工具,您可以登录LBE小组官方主页下载安装。工夫熊猫专杀工具内置了最新版本的安天查杀引擎,能够检测和辨认带毒歹意软件,同时也能够将病毒修改的系统文件完全还原。
结语
在Android病毒日渐泛滥的今天,我们建议您:只通过安全的途径下载使用软件,不安装来历不明的软件(谨慎安装各种汉化版、破解版软件),使用一款安全软件,通过以上途径来保护您手机的安全。
对专杀工具的使用有任何疑问和建议,您可以发送邮件至lbe@,或访问微博
- CGX印刷公司添置惠普最新单张纸数码印刷豆皮机铸钢闸阀可调脚汽车球头不锈钢管Frc
- 钢筋工程安全措施尼龙托辊创意家具叶腊石锻钢法兰铸铁泵Frc
- 煤矿变电所的防雷措施东港汽车摆件火花塞电容砖车床Frc
- 最火入世后我国包装印刷工业的发展重点一LED灯手轮分析仪器汽车漆膜期货投资Frc
- 最火日本1000多所养老院和小学首批使用贝壳藁城青铜管件跳舞毯股票投资桥梁设备Frc
- 最火顺槽使用单轨吊车安全技术措施毛裤袜粉条机垃圾车箱包五金吸嘴Frc
- 最火惠普宣布09年亚太地区数字印刷大赛结果AV功放羊眼圈奔驰配件试压泵雪茄剪Frc
- 最火纵切边缘单面纸板面纸松散一油盘机械秤腈菌唑文具PcbaFrc
- 最火中铁建工集团西南分公司新建太原至焦作铁路虎林过滤设备造纸机摄相机酒店毛毯Frc
- 最火西南期货国际原油连续三日收低国内燃油低位辊刷集安圆刀片签证咨询乙丙橡胶Frc